Aufzeichnungen sind ein unklares Konzept, das manche Unternehmen aus Compliance-Gründen nur schwer klassifizieren und verwalten können.
Aufzeichnungen im Sinne der IKT sind ein anderer Begriff für die Daten und Informationen, die eine Organisation speichert und/oder zur Durchführung ihrer täglichen Geschäftsaktivitäten verwendet, einschließlich (aber nicht beschränkt auf):
ISO definiert Aufzeichnungen im Rahmen ihrer Standards als „jede Menge von Informationen, unabhängig von ihrer Struktur oder Form“, einschließlich „einem Dokument, einer Sammlung von Daten oder anderen Arten von Informationen, die im Geschäftsverlauf erstellt, erfasst und verwaltet werden“. “, einschließlich der Metadaten eines Datensatzes.
Jede Organisation ist verpflichtet, sicherzustellen, dass die von ihr gespeicherten Daten – einschließlich, aber nicht beschränkt auf Personen- und Finanzdaten – geschützt sind Informationen oder Einsatzgebiete – werden sicher und geschützt aufbewahrtund die internen Verfahren entsprechen weiterhin allen geltenden Anforderungen.
Control 5.33 befasst sich mit dem Schutz von Geschäftsunterlagen vor fünf wichtigen Ereignissen:
Kontrolle 5.33 ist ein vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit hält das Risiko aufrecht durch die Erstellung von Richtlinien und Verfahren – einschließlich Aufbewahrungsplänen –, die die gesetzlichen, satzungsmäßigen, behördlichen und vertraglichen Anforderungen einer Organisation in Bezug auf erfüllen Sicherheit und Verfügbarkeit aller Aufzeichnungen, die es besitzt.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren #Schützen | #Recht und Compliance #Vermögensverwaltung #Informationsschutz | #Verteidigung |
Kontrolle 5.33 erkennt an, dass ein Die Bedürfnisse der Organisation sind fließend wenn es um die Menge und Art der Aufzeichnungen geht, die erforderlich sind, um von einem Tag auf den anderen Geschäfte abzuwickeln.
Daher kategorisiert Control 5.33 die Datensatzverwaltung in vier Hauptattribute:
Im Rahmen dieser Attribute fordert Control 5.33 Organisationen dazu auf:
27002:2022-5.33 ersetzt 27002:2013-18.1.3 (Schutz von Aufzeichnungen) mit diversen Ergänzungen in Form einzelner Leitlinien und allgemeiner Prozesse, die eingehalten werden müssen.
In der Kontrolle 2022 erkennt die ISO an, wie wichtig es ist, zu definieren, was eine Geschäftsaufzeichnung darstellt. 27002:2022-5.33 enthält zahlreiche Beispiele dafür, was ISO unter einem Datensatz versteht (siehe oben), die in 27002:2013-18.1.3 fehlen.
Control 5.33 lenkt die Aufmerksamkeit einer Organisation auch auf zwei Hauptleitpunkte, die nicht in ihrem Gegenstück aus dem Jahr 2013 enthalten sind (Richtlinien 1 und 2 oben), die wiederum die Grundlage der Aufzeichnungsrichtlinie einer Organisation bilden – insbesondere einen Aufbewahrungsplan, der vorschreibt, wie Es sollten lange Aufzeichnungen über alle medienspezifischen Anforderungen aufbewahrt werden.
Auch im Records Management halten Metadaten erstmals Einzug. 27002:2013-18.1.3 enthält keine Erwähnung davon, während 27002:2022-5.33 es als „wesentlichen Bestandteil“ betrachtet.
Nutzung von ISMS.online Sie können:
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |